-
论坛上已经有好些讨论这个内容的帖子了,大体浏览了一遍,感觉还是有点迷糊,请做过的兄弟帮帮忙啊!我现在是要监控 从或是到 移动设备的拷贝操作,具体实在sfilter的例子上进行开发的具体的监控不需要考虑例如自己编写工具进行读写文件拷贝的极端情况看前面的帖子,在应用层上做hook的话...全文
◆
◆
-
alwaysrun:感觉hook比较可行。。。。。。。。。。 驱动好像太复杂(2010-06-03 09:09)
-
zy860326:恩,不是代码,是二进制软件(2009-10-10 14:59)
-
zy860326:谢谢版主大人的回复。 的确目前的感觉是文件copy其实和文件系统过滤驱动没有什么简洁的联系。 我再仔细琢磨琢磨看看能不能有什么办法 嗯,真是有些不甘心啊!(2009-10-10 14:19)
-
wanglq_2007:移动存储的监控和加密,我给你个测试版的,我只监控了USB写操作,没有监控读。 留下Email,我发给你吧。(2009-10-10 13:21)
-
devia:如果要监控拷贝操作, 其实从理论上讲是不太可能的, 原因是文件拷贝操作最终可分解为 和拷贝操作毫无关系的,分散的Read,Write操作; 如果你真的想搞个玩具玩玩, 那你从文件 系统过滤驱动层面上入手更是错误的, 因为文件系统过滤驱动里不存在文件拷贝这个概念; 所以,你只能从应...(2009-10-10 12:57)
-
zy860326:在同一个卷内,应该就只是一个rename操作; 在不同卷内,考虑文件读写的话,感觉会被其他读写操作给淹没...... 在网上见到一个方法,直接引文 “在IRP_MJ_QUERY_INFORMATION 请求中 irpSp->Parameters.QueryFile.F...(2009-10-10 12:46)
